Etiquetado: ciberataque

El narco

Después de lo que sucedió el pasado viernes me ha venido a la mente una anécdota de algo que me ocurrió hace ya un tiempo y que refleja claramente el porque pocas compañías están realmente preparadas para un suceso de este tipo ya que se trata simplemente de prevenir y el problema es que cuando tratas de prevenir a veces nadie te entiende.

Bueno, vamos con la anécdota que es lo importante aquí y es como casi siempre las cosas se enredan desde el principio. Hoy en día el acceso a servicios en internet en tan fácil que cualquiera puede poner en marcha un proyecto en la web, y esto fue lo que ocurrió, alguien decidió contratar a una pequeña empresa para construir una web. No dudo de que el objetivo era totalmente bien intencionado, absolutamente alineado con los objetivos de negocio y además a un coste bastante reducido. Debido a esta facilidad que he comentado antes, nos enteramos una vez que el contrato ya estaba en marcha y los trabajos habían comenzado. Lo gracioso del asunto es que como buena gran compañía tenemos un complicado proceso interno para autorizar todo lo que tiene que ver con nuevos activos digitales que nadie se había preocupado de realizar.

Este proceso está enfocado a cumplir con ciertas garantías y la principal es la seguridad. Entre una larga lista de requerimientos a cumplir por el nuevo sistema existe una en concreto que es la más dolorosa, hay que pasar por un “test de penetracion”, se que el nombre puede sonar cómico pero os aseguro que no es ninguna broma. Consiste en realizar un análisis de la web o app en concreto para detectar si existe algún tipo de vulnerabilidad. 

Resulta que la web que se pretendía poner en producción tenía una larga lista de vulnerabilidades, lo que significaba que cualquiera con el tiempo suficiente y un poco de habilidad haciendo búsquedas en Google podía perfectamente “penetrar” esta web y podría secuestrarla como ocurrió el otro día, utilizarla para dañar la imagen de la empresa o lo que puede ser mucho peor, transgredir la obligacion que tenemos de salvaguardar los datos de nuestros clientes y empleados.

Recuerdo las largas reuniones revisando la lista de vulnerabilidades en las que ni el proveedor ni la parte de negocio entendían porque tenían que cumplir con tantas medidas y complejos protocolos de seguridad. Incluso las conversaciones llegaron a un punto en el que uno de mis compañeros insinuó, medio en broma medio en serio, que íbamos a terminar cobrando en vez de pagando al proveedor por la auditoría de seguridad que le estábamos haciendo, ya que el analista de seguridad, al que cariñosamente apodamos “el narco” ya que siempre iba vestido con traje, camisa y corbata negra, no dejaba de pasar la más mínima a pesar de las múltiples quejas de negocio y del proveedor.

Aún me sonrió cuando me recuerdo corriendo hasta el auditorio, donde se iba a comunicar la fecha de publicación de la web, para confirmar que podíamos decir cuando la web iba a estar disponible, justo después de la última reunión con “el narco” en la que nos confirmó que finalmente todo estaba solucionado.

Anécdotas aparte, creo que es algo que puede suceder en cualquier compañía, o lo que es peor, es posible que en muchas no suceda y no se siga ningún protocolo para asegurar que los niveles de seguridad son los adecuados y por tanto quedar expuesto a ataques como el que sucedió el otro día.

Tener un buen conjunto de prácticas y protocolos de seguridad junto con unas buenas campañas de concienciación para empleados y clientes pueden evitar muchos problemas a futuro. Tenemos que pensar en ello como cuando miramos la presión de los neumáticos y el nivel de aceite antes de hacer un viaje largo o cuando llevamos nuestro coche al taller para que le hagan una revisión cada cierta cantidad de kilómetros. Lo hacemos para evitar accidentes, pues esto es exactamente lo mismo, el que no previene va a tener muchísimas posibilidades de tener un accidente.